无论如何,是否可以通过主机使用Radare2调试在虚拟机(来宾)上运行的进程?我目前正在使用VirtualBox。它提供了一个内置的调试器。我不确定radare2是否可以与之集成。

评论

我不确定您的目标是什么,是否要调试主机系统上VM内运行的进程?
@pudi是的,已澄清。

#1 楼

我是r2vmi的开发人员,通过谷歌搜索自己的项目找到了您的主题。

我一直在通过重新实现GDB存根来开发改进的版本: //github.com/Wenzel/pyvmidbg

如果您想快速浏览一下,自述文件将包含一个演示。

上周我在Insomni'Hack会议上介绍了该项目,如果您想看一下幻灯片:
https: //drive.google.com/file/d/1ZMUszfwWDOljdDfPOJgkEfSabNy0UAJR/view

希望有帮助!

#2 楼

Radare能够连接到gdb远程会话。因此,如果您使用qemu之类的东西进行虚拟化,则可以连接到此。问题将是在整个内存中找到所需的进程。首先,您需要了解客户机操作系统如何处理其内核中的进程,然后需要在该内存区域中找到内核。

有两个有趣的项目与此主题有关:zdbg和r2vmi

#3 楼

此外,请确保将任何类型的WindowsVM准确反向,并确保将gdb指向正确的.pdb,以便它可以读取符号以进行更好的调试。

评论

在这种情况下,VM是Linux活动CD。

–埃文·卡洛尔(Evan Carroll)
18年11月7日在2:03